大眾奧迪車載信息娛樂系統存安全漏洞 恢復出廠設置或成唯一途徑

蓋世汽車訊 據外媒報道，Daan Keuper與Thijs Alkemade兩位研究人員在發表的新網路安全論文中提到車載控制器區域網路匯流排（CAN Bus）被黑客攻破的原因。值得一提的是，他們發現大眾及奧迪車型存在安全漏洞，車載信息娛樂系統與車載網路易遭黑客攻破。

兩位研究人員在報告中寫道：「我們可遠程侵入車載信息系統，並藉助該系統向車載控制器區域網路匯流排發送任意的信息。」

Computest認為，這屬於軟體漏洞，或許在升級固件後，就能在一定程度上緩解（mitigated）該問題。然而，該操作卻無法通過遠程升級來完成，務必要交由一家業內領先的官方經銷商來完成具體的升級操作。對於整個車隊而言，若想要在經銷商處一次性完成固件升級，似乎有點難度。

該報告指出，若黑客獲得車載控制器區域網路匯流排的訪問許可權，他（她）將能夠藉此控制該車輛，或許還能冒充前置雷達，謊稱附近存在碰撞事故，向制動系統發出指令，要求執行緊急停車操作或接管制動系統。若某個部件與車載控制器區域網路匯流排實現了網路連通，黑客只需要想辦法獲得訪問該部件的許可權，就能侵入車輛，且無需實際進出車輛（physical access）。

對黑客們而言，供其選擇的遠程攻擊界面（remote attack surface）實在太多了。有些攻擊方式確實需要黑客們非常接近該車輛（如破解免鑰系統），有些攻擊方式則可實現遠程入侵，黑客們可在全球任意位置發起入侵攻擊。部分攻擊需要用戶交互（user interaction），而有些攻擊則針對任意用戶，許多乘客甚至都不清楚發生了什麼。

研究人員著眼於互聯汽車及車載蜂窩網路或無線網路連接，他們還發現蜂窩式網路連接與車載控制器區域網路間的層級最少。

據大眾透露：「公司自2016年第22個生產周（production week 22）以來，對旗下大眾Golf GTE與奧迪A3的車載信息娛樂系統進行了軟體升級，已經封閉了兩款車型的開放式介面（open interface）。」

如今，大眾Golf正在運行MIB2軟體，而大眾Golf GTE則在運行由哈曼製造的MIB軟體。

據Karamba Security公司的聯合創始人兼首席科研人員Assaf Harel透露：「在該示例中，研究人員可對車載信息娛樂系統發起內存溢出攻擊（in-memory overflow attack），旨在探索遠程代碼執行漏洞（remote-code-execution vulnerability）。在當今的車車在系統中，這類安全漏洞實在太多了，黑客們早晚會查找到這類安全漏洞的。」

他還說道：「針對這類攻擊方式，唯一的防範措施就是恢復出廠設置，從而封閉電控單元（ECU）。由於還存在太多未知的安全漏洞，ECU強化層（hardening layer）會將任何與出廠設置不符的未授權偏差（unauthorized deviation）視為惡意軟體（malware），旨在防範已知與未知的黑客攻擊，即零日漏洞（zero-day vulnerabilities）。」（本文圖片選自autoconnectedcar.com）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！